[PHP-users 14244] Re: Cookie 特許と PHP (session)
Osamu Shigematsu
php-users@php.gr.jp
2003年 3月 25日 (火) 03:16:27 JST
重松です。こんにちは。
> セッションを実現するのに、cookie使わないでURIにセッションIDを埋め込む方
> がセキュリティー的には弱い気がするのですが。
別に URI に セッション ID を埋めなくても POST して渡すこともできますが。
cookie に比べて、セキュリティ的に甘くなると考えられる理由など
教えていただけると、cookie のありがたさを理解できるのではと思います。
> 毎回セッションIDを変えると、「戻る」ができなくなるし。。。
これに関しては、まさにそうですね。
ただ、個人的には、クライアントサイドには、セッション ID のみを渡して、
状態はすべてサーバで保持するのが筋だと思いますから、
ブラウザのバックボタンで戻るのではなくて、
戻るためのボタンをつけて対処する方が理論的にスマートだと思いますが、
現実問題としては、やっぱり、戻りたくなりますね。
--
Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>
PHP-users メーリングリストの案内